Backdoor auf hunderten Apache-Servern
Backdoor auf hunderten Apache-Servern (Bild: Apache Software Foundation)

Linux/Cdorked.A Schwer entdeckbare Backdoor für Apache-Server

Sicherheitsexperten haben eine Schadsoftware entdeckt, die nur ein modifiziertes httpd-Binary verwendet. Alles andere passiert im Arbeitsspeicher. Die Angreifer sollen bereits hunderte Apache-Server unter ihre Kontrolle gebracht haben. Administratoren sollten ihre Server überprüfen.

Anzeige

Linux/Cdorked.A ist eine Backdoor für Apache-Server, die von einem Administrator nur schwer entdeckt werden kann. Mitarbeiter der Firmen Eset und Sucuri haben bereits einen Teil der Backdoor analysiert. Cdorked greift Hostingsysteme an, die per cPanel konfiguriert werden. Die Analyse wird dabei durch verschiedene Mechanismen erschwert. Eset gibt etwa an, dass normale Apache-Logs keine Hinweise geben, dass das eigene System übernommen wurde. Auch Spuren auf dem Dateisystem hinterlässt die Schadsoftware kaum. Stattdessen wird vor allem ein 6 MByte großer Teil des Arbeitsspeichers für die laufende Konfiguration verwendet. Befehle bekommt die Schadsoftware über verschleierte HTTP-Requests.

Nur eine Datei wird manipuliert

Nur das httpd-Binary wird beim Angriff modifiziert, ohne dass das Dateidatum verändert würde. Zudem wird die Datei mit dem Immutable Bit versehen, um den Zugriff zu erschweren. Der Administrator muss über das chattr-Werkzeug erst einmal an die Datei kommen, um sie dann durch eine saubere Version zu ersetzen.

Auch die Analyse von außen wird erschwert. Pro Tag und IP-Adresse verändert der kompromittierte Webserver nur ein einziges Mal sein Verhalten. Dann wird ein Anwender, der die Webseite besucht, per Redirect umgeleitet. Damit kein weiterer Redirect durchgeführt wird, speichert der Webserver beim Besucher einen Cookie. Zudem leitet die Schadsoftware keine Admin-Zugriffe um. Will der Admin etwa auf seine Konfiguration schauen, wird ebenfalls ein Cookie gesetzt.

Bei erfolgter Umleitung findet sich der Besucher der ursprünglichen Webseite woanders wieder. Hier hören die Analysen der beiden Sicherheitsfirmen auf. Klar ist bisher nur, dass die neuen Ziele Blackhole Exploit Packs verwenden, um dann den Anwender zu infizieren. Mit solchen Kits werden in der Regel zahlreiche Sicherheitslücken angegriffen. Dabei sind nicht nur Java, Flash und PDF das Ziel, sondern häufig auch der Browser. Ist dieser veraltet und hat Sicherheitslücken, kann nicht ausgeschlossen werden, dass der Rechner des Anwenders beim Besuch eines solchen Redirects übernommen wird. Ein Virenscanner reicht als alleiniger Schutz häufig nicht aus.

Eset und Sucuri empfehlen allen Apache-Admins mit cPanel, ihre Server auf eine Infektion durch die sehr fortschrittliche Schadsoftware zu untersuchen. Die Analyse ist noch nicht abgeschlossen. Sowohl Eset als auch Sucuri stellen noch allerhand Vermutungen auf, was das Vorgehen der Schadsoftware angeht. Denkbar sind die Vermietung der Infrastruktur für Spamverteilung, die weitere Verbreitung von Schadsoftware oder auch Angriffe. Bisher ist zudem unklar, wie die Server überhaupt gehackt wurden. Eset und Sucuri gehen bisher nicht davon aus, dass eine Sicherheitslücke verwendet wurde.

Linux/Cdorked.A zeigt, welcher Aufwand mittlerweile betrieben wird, um an Rechner heranzukommen und gleichzeitig eine Entdeckung zu vermeiden. Die Software verdeutlicht zudem, dass der reguläre Netzbesucher das Ziel solcher Angriffe ist. Ciscos Security Report vom Februar 2013 nannte auf dem ersten Platz Angriffe über dynamische Inhalte und CDN-Systeme (18,3), dicht gefolgt von Angriffen über Werbung (16,8 Prozent). Spielewebseiten werden zu 6,5 Prozent für Angriffe verwendet und Onlineshops erreichen immerhin noch 3,6 Prozent. Webseiten mit illegalen Softwareangeboten sind für Kriminelle kaum noch von Interesse.

Nachtrag vom 28. April 2013, 16:04 Uhr

Der Debian-Entwickler Adrian Glaubitz machte uns darauf aufmerksam, dass eine Kontrolle bei Distributionen mit signierten Paketen beispielsweise leicht über das Werkzeug debsums durchgeführt werden kann. Manipulierte Apache-Installationen sollten so einfach aufzuspüren sein. Außerdem hat Eset ein eigenes Tool veröffentlicht.


Anonymer Nutzer 30. Apr 2013

Darum prüft man so etwas von einer vertrauenswürdigen Maschine aus, mit zur Version...

rkr 30. Apr 2013

Kann es sein, dass das Script unter Ubuntu Server 12.04 immer anschlaegt?

elgooG 29. Apr 2013

Vor allem das "Nur eine Datei wird manipuliert" finde ich schon etwas dreist. Ja klar, es...

silentburn 29. Apr 2013

danke fürs mitteilen

Poison Nuke 28. Apr 2013

da es sich laut Meldung bisher scheinbar nur um cPanel Server handelt, scheint es über...

Kommentieren



Anzeige

  1. Teamleiter (m/w) Applikationen und Systembetrieb SAP IS-U
    LAS GmbH, Leipzig
  2. IT-Supporter im First- und Second Level (m/w)
    redcoon GmbH, Aschaffenburg, Erfurt
  3. Datenanalyst / Datenanalystin Banksteuerung
    Volksbank RheinAhrEifel eG, Mendig
  4. Projektleiter / Consultant (m/w)
    k-concept2publish GmbH, Oberschleißheim

 

Detailsuche


Folgen Sie uns
       


  1. Bundesregierung

    Klimaziele wegen mangelnder Elektroauto-Förderung in Gefahr

  2. Flugsicherheitsbehörde

    Lieferdrohnen benötigen Piloten mit Fluglizenz

  3. Gift Trading

    Steam ändert Regeln für geschenkte Spiele

  4. Fluggastdaten

    EuGH soll PNR-Abkommen mit Kanada prüfen

  5. LLGO

    Go-Compiler auf Basis von LLVM

  6. Operation Eikonal

    Regierung schüchtert Ausschuss mit extremem Geheimschutz ein

  7. Creative Commons

    Deutschlandradio darf CC-BY-NC-Bild nutzen

  8. Vodafone All-in-One

    Bündelangebot mit LTE, 100 MBit/s und TV für 60 Euro

  9. Wemo

    Belkin verkauft LED-Lampen mit Internetanschluss

  10. Chipfertigung

    7-Nanometer-Technik arbeitet mit EUV-Lithografie



Haben wir etwas übersehen?

E-Mail an news@golem.de



NSA-Ausschuss: Meisterschule für Geheimniskrämer
NSA-Ausschuss
Meisterschule für Geheimniskrämer
  1. Kanzlerhandy Bundesanwaltschaft will NSA-Ermittlungsverfahren einstellen
  2. NSA und Co. US-Geheimdienste melden viele Zero-Day-Lücken vertraulich
  3. IT-Sicherheitsgesetz BSI soll Sicherheitslücken nicht geheim halten

Next-Gen-Geburtstag: Xbox One und Playstation 4 sind eins
Next-Gen-Geburtstag
Xbox One und Playstation 4 sind eins
  1. Big Fish Games Bis zu 885 Millionen US-Dollar für Casualgames-Anbieter
  2. This War of Mine Das traurigste Spiel des Jahres
  3. Qbert & Co 901 Spielhallenklassiker im Onlinearchiv

Panasonic Lumix DMC-LX100 im Test: Kamera zum Begeistern und zum Verzweifeln
Panasonic Lumix DMC-LX100 im Test
Kamera zum Begeistern und zum Verzweifeln
  1. Systemkamera Sony Alpha 7 II mit 5-Achsen-Bildstabilisierung
  2. Canon PowerShot G7 X im Test Canons Konkurrenz zu Sonys 1-Zoll-Kamera
  3. Interne Dokumente Neuer Sony-Sensor könnte Kameras kraftvoller machen

    •  / 
    Zum Artikel